Embed Size (px)
Citation preview
[TUTORIAL] Implementación de WSUS en Windows Server 2008 R2Publicado en 01/10/2012 por Pablo Ariel Di Loreto en Tutoriales, WSUS
A través de la implementación de Windows Server Update Services (más conocido como WSUS) los administradores pueden realizar el despliegue de las últimas actualizaciones de productos Microsoft y de otros fabricantes, como drivers.
En forma general, WSUS tiene una completa interfaz de autorización y distribución centralizada de updates. En Windows Server 2008 R2 es un rol que se instala muy fácilmente y simplifica rotundamente la administración de actualizaciones de equipos clientes como de servidores.
En este tutorial vamos a realizar una instalación de WSUS 3.0 con SP2.
Tabla de Contenido [Ocultar] Escenario de Trabajo Plan de Trabajo Desarrollo del Tutorial WSUS
Instalación del rol WSUS de Windows Server 2008 R2 Instalación del Servicio WSUS propiamente dicho Configuración de WSUS a través del asistente de configuración Aplicación de Updates disponibles para WSUS Configuración de GPO para administración centralizada de actualizaciones Chequeo Final
Conclusiones Publicaciones Relacionadas
Escenario de Trabajo
Contamos con una infraestructura de Active Directory y un nivel funcional de bosque y dominio Windows Server 2008 R2. Contamos con aproximadamente 29 equipos, a los cuales queremos administrar sus actualizaciones centralizadamente.
La instalación del rol WSUS vamos a realizarla en un equipo específico y exclusivo para tal fin, que cuenta con la siguiente configuración
Tipo de equipo: Virtualizado. Memoria RAM: 4 GB Disco “C”: 80 GB (Sistema Operativo) Disco “E”: 200 GB (Datos de WSUS)
Plan de Trabajo
Nuestro Plan de Trabajo para este tutorial será el siguiente:
Instalación del rol WSUS de Windows Server 2008 R2 Instalación del Servicio WSUS propiamente dicho Configuración de WSUS a través del asistente de configuración Aplicación de Updates disponibles para WSUS Configuración de GPO para administración centralizada de actualizaciones Chequeo Final
Desarrollo del Tutorial WSUS
Instalación del rol WSUS de Windows Server 2008 R2
Para instalar WSUS, vamos a ir al asistente de agregado de roles:
Allí daremos siguiente:
Elegiremos el rol “Windows Server Update Services”:
Aceptamos la instalación de los servicios requeridos para el funcionamiento de WSUS:
Damos siguiente:
Aceptamos la instalación de los servicios requeridos:
Damos siguiente:
Por último, iniciamos la instalación propiamente dicha:
El servicio comenzará la instalación:
Instalación del Servicio WSUS propiamente dicho
Posteriormente a la instalación del rol, y de forma automática, se lanza el instalador del servicio WSUS propiamente dicho:
Aceptamos los términos del contrato:
Si no tenemos instalado “Microsoft Report Viewer 2008 Redistributable”, el sistema nos avisará que no tendremos disponible algunos informes. Sin embargo, podemos instalarlo luego:
Elegimos una ubicación para los archivos de instalación y updates del servicio. En nuestro caso, elegimos una unidad exclusiva para tal fin:
Lo mismo hacemos con la base de datos de configuración, y la instalamos (en nuestro caso) en la misma unidad exclusiva:
En este punto, WSUS necesita un sitio web de IIS para funcionar. El asistente nos propone utilizar el sitio “Default Web Site” existente, o crear uno nuevo. Vamos a re-utilizar este sitio (opción recomendada por el asistente):
Por último, comenzamos la instalación propiamente dicha:
La instalación comienza:
Cuando finaliza, le damos “Finish”:
Configuración de WSUS a través del asistente de configuración
Una vez finalizada la instalación del servicio, podemos realizar la configuración a través del asistente de configuración de WSUS:
Aquí se nos propone participar del programa de mejora de Microsoft. A nuestra elección, le damos siguiente:
Posteriormente, podemos elegir bajar los updates directamente de Microsoft Update o, optativamente, elegir otro servidor WSUS. Esta opción se utiliza si tenemos sub-sitios de distribución en nuestra organización o en alguna sucursal. En nuestro caso no es así, por lo cual seleccionamos bajar los updates directamente de Microsoft Update:
Si necesitamos configurar un Proxy, aquí podemos hacerlo:
En este punto, el asistente necesita descargar información de actualizaciones y software disponible para administrar sus updates, con el fin de permitirnos continuar con la configuración. Por supuesto, debemos iniciarlo. Cabe aclarar que en este punto no se bajan updates, sino información de productos e idiomas que podemos aplicar a nuestra configuración:
Una vez completada esta sincronización de información, se nos habilitará el botón “siguiente”:
Aquí elegiremos los idiomas en los cuales queremos descargar las actualizaciones:
Posteriormente, podemos elegir sobre qué productos queremos descargar updates:
Por último, una vez elegido el idioma y los productos, podemos elegir qué tipo de clasificación de actualizaciones queremos aplicar a nuestros clientes. Podemos elegir desde actualizaciones críticas hasta nuevas herramientas o software disponible a través de Microsoft Update. En nuestro tutorial, vamos a instalar:
Actualizaciones críticas Actualizaciones de definiciones Actualizaciones de seguridad Service Packs Update Rollups Actualizaciones en general
Aquí podemos definir si queremos crear una tarea programada para buscar nuevos updates automáticamente, o si queremos hacerlo manualmente. Nosotros elegiremos automáticamente una vez por día a las 02:01 de la mañana:
Por último, seleccionamos realizar la primera sincronización ahora:
Aceptamos las opciones seleccionadas y presionamos Finalizar:
Para comprobar el funcionamiento de la consola, vamos a proceder a abrirla:
Podemos visualizar, por ahora, que la consola abrió, que todo estaría en orden pero que aún no tenemos equipos para administrar updates:
Aplicación de Updates disponibles para WSUS
Es muy importante, realmente, en este punto realizar los updates disponibles para WSUS. Esto es porque existe puntualmente una actualización que es crítica y puede definir el buen o mal funcionamiento del servicio: la KB2720211.
Si por algún motivo no podemos realizar la instalación de los parches a través de Windows Update del Sistema Operativo, podemos ingresar puntualmente a un update crítico y aplicarlo a través de la siguiente URL: http://support.microsoft.com/kb/2720211
Configuración de GPO para administración centralizada de actualizaciones
La forma más fácil de setear masivamente el servidor WSUS en nuestros equipos clientes (y servidores) es a través de una GPO diseñada para tal fin. Nosotros hemos elegido crear una GPO en la raíz de nuestro dominio que afecte a todos los equipos en el mismo, sin excepción.
Para esto, nos situamos en la consola “Group Policy Management” y creamos una GPO llamada “WSUS” en la raíz de nuestro dominio:
Editamos la GPO y nos situamos en el siguiente ítem:
Computer Configuration / Administrative Templates / Windows Components / Windows Update:
Allí editamos la política “Specify intranet Microsoft update service location y ubicamos en “Intranet update Service for detecting updates” y en “Intranet statistics server” a nuestro equipo WSUS01, indicando el protocolo. En nuestro caso quedaría:
http://WSUS01
Una vez realizado esto, podemos forzar la aplicación de GPOs en nuestros equipos clientes o destino a través de gpupdate /force, o esperar que se aplique en unas horas .
Chequeo Final
A medida que va pasando el tiempo, la consola comenzará a registrar equipos. En primera instancia, quizás, sin reportar aún el status de actualizaciones:
Y, por supuesto, cuanto más tiempo pase, estos equipos comenzarán a reportar el estado de sus actualizaciones:
Conclusiones
WSUS es una poderosa herramienta al alcance de los Administradores, que forma parte de Windows Server 2008 R2 a través de la implementación de uno de sus roles. Esto significa que sin invertir en más licenciamiento, se puede contar con una administración centralizada de Updates para nuestros equipos de la red.
Sin lugar a dudas, el ver y aprovechar esta funcionalidad puede simplificar y estandarizar la ardua tarea del despliegue de actualizaciones a todos los equipos.
No es el objetivo de este tutorial, pero la herramienta WSUS nos permite seleccionar los updates a instalar, cuáles no, y diferenciar su aplicación (si quisiéramos) a grupos de equipos. Por supuesto, esto quedará para otra entrega.
